アカウント名:
パスワード:
Firefox では Windows の設定にあるセキュリティゾーンの設定を無視して Web サイトの閲覧を行ったり、スクリプトを実行することが可能なわけですが、これ自体が Windows のセキュリティホールになるのですかね?
という話となんら差がない程度には、IE と mshta の存在に差はあります。
Windows 標準コンポーネントじゃないかと言われても、telnet で 80 番叩いた時にも適用されなかったらセキュリティホールだとかと言われると、頭を抱えたくなります。
mshta をユーザが勝手に使えることは、perl や cc をユーザが勝手に使えることとどのくらいの差があるのかとか。
とある訳で、スクリプトは普通として、ActiveXコントロールが警告なしで動くあたりは明らかにPerlなどよりはリスクが高いように思いますけど。
GCC や Perl が入っているがために、侵入後に httpd や IRC bot がインストールされて……とかいう観点から見たら、cc や perl の方がリスクが高いもののように見えるわけで、そこは視点の差でいくらでも言える話でしょう。
元コメントが記事の是非を置いた上での話をしているのでソフトウェア単体の話として、存在自体は「そのままでいいんじゃないの?」と考えています。ローカル HTA ファイルのホストとしては ActiveX コントロールの警告なんてものが出る事の方が困りますから。
コメントの部分に関しては、ソフトウェアベンダ側の問題としかいい様がありませんね。インストールしたユーザしか利用できないっていうのは、ライセンス上の制約もあるかもしれませんが。
で、ユーザ権限でのアカウント単位の限定インストールって、どこにインストールするんですか? Program Files 以下へ書き込んで Windows のシステム管理下に置きたいなら、Windows のパッケージシステムを利用する話になるので管理者権限が必要になるのは全く不思議はありませんし、ユーザフォルダに置く「野良アプリ」という話であれば、パッケージシステムの範囲外で行うことですから Windows Installer を使っていないものを使う、という話になるように思います。
一般ユーザで apt-get install lv とかやったら ~/bin に lv が入るって話だとしたら、OS のパッケージシステムを利用する場合ユーザ単位での限定インストールができるシステムの方が希少というか、存在しないように思いますがどうでしょうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
mshta.exe自体が危険、であるならば... (スコア:1)
自分で検証できる環境じゃないんであんまり自身がないんですが、実際にセキュリティゾーンとかを無視してweb pageを開いたり、スクリプトを実行したりすることが可能、ということでいいんですよね?
だとすればそれ自体、Windowsのセキュリティホールじゃないかという気がしたりもするんですが、その点はどうなんでしょう?
ひょっとしてmshtaの存在自体(もしくはmshtaをユーザが勝手に使えること)について、Microsoftにクレームをつけるべき?
Re:mshta.exe自体が危険、であるならば... (スコア:3, すばらしい洞察)
だって、そもそもセキュリティがないんですから。
しかし、このmshta.exe自体は基本的にローカルでしか開けないし、
ユーザー自らが実行するものですから、ユーザー自身が
自分が何やっているかを理解していれば済む話。
企業のPCとかだったら、管理者が適切な実行権限を与えていればよい。
しかし常識的な人だけが読む記事じゃないんだから、「危険ですから
自己責任で!」という注意が全くもって足りないですね。
うかつです。
jbeef高木センセイがつっこみそう。
Re:mshta.exe自体が危険、であるならば... (スコア:0)
>自己責任で!」という注意が全くもって足りないですね。
「悪用厳禁」雑誌でやってれば問題なかったと。
Re:mshta.exe自体が危険、であるならば... (スコア:2, すばらしい洞察)
Firefox では Windows の設定にあるセキュリティゾーンの設定を無視して Web サイトの閲覧を行ったり、スクリプトを実行することが可能なわけですが、これ自体が Windows のセキュリティホールになるのですかね?
という話となんら差がない程度には、IE と mshta の存在に差はあります。
Windows 標準コンポーネントじゃないかと言われても、telnet で 80 番叩いた時にも適用されなかったらセキュリティホールだとかと言われると、頭を抱えたくなります。
mshta をユーザが勝手に使えることは、perl や cc をユーザが勝手に使えることとどのくらいの差があるのかとか。
Re:mshta.exe自体が危険、であるならば... (スコア:1)
Re:mshta.exe自体が危険、であるならば... (スコア:1)
>ゾーンを無視して警告なしにスクリプトや ActiveX コントロールなどを動かすことができるアレでナニなモジュールだ
とある訳で、スクリプトは普通として、ActiveXコントロールが警告なしで動くあたりは明らかにPerlなどよりはリスクが高いように思いますけど。
Unix系で言うならばユーザ権限で動くPerlやPythonのスクリプトが外部からのバッチなどを勝手に読み込んでsudoしてroot権限でアレコレ悪さするのを許すようなもので、root権限に遷移するときに、警告もrootのパスワードを尋ねる事もなければ、そりゃ危なすぎるでしょう。ということで。
確かに、管理者が管理者アカウントでは入れなくなったときなどの危機的な状況で使えるような、ある種の「万能ナイフ」的な使われ方を想定して入れられているんで、mshta.exe自体は「必要なもの」ではあるのでしょうけど、
Windowsはシステム管理に関する権限が(Unix系上がりから見ると)細かいというか入り組んで見えてわかりにくいですし、
それ以前にITProのようなメジャーなサイトでこの手の取扱い注意な物を推奨するのは、初心者が真似したらやばすぎるでしょう。と言うか、「便利なスクリプト」と称する、斜め読みしただけだと安全に見える、バックドア開いて本体を読み込んで暴れさせるようなtrojanに引っかかる人が続出するのは目に見えてるでしょうに…と言うことで。
# それ以前にadministrator権限付いたユーザでないとインストールできなくて、インストールした
# ユーザしか使用できないアプリケーションが多すぎる方がさらに問題だとは思いますけどね。
## なんでusers権限でのアカウント単位での限定インストール出来ないのよ?と言うアプリが
## 多い…多過ぎる…
Re:mshta.exe自体が危険、であるならば... (スコア:3, すばらしい洞察)
GCC や Perl が入っているがために、侵入後に httpd や IRC bot がインストールされて……とかいう観点から見たら、cc や perl の方がリスクが高いもののように見えるわけで、そこは視点の差でいくらでも言える話でしょう。
元コメントが記事の是非を置いた上での話をしているのでソフトウェア単体の話として、存在自体は「そのままでいいんじゃないの?」と考えています。ローカル HTA ファイルのホストとしては ActiveX コントロールの警告なんてものが出る事の方が困りますから。
コメントの部分に関しては、ソフトウェアベンダ側の問題としかいい様がありませんね。インストールしたユーザしか利用できないっていうのは、ライセンス上の制約もあるかもしれませんが。
で、ユーザ権限でのアカウント単位の限定インストールって、どこにインストールするんですか? Program Files 以下へ書き込んで Windows のシステム管理下に置きたいなら、Windows のパッケージシステムを利用する話になるので管理者権限が必要になるのは全く不思議はありませんし、ユーザフォルダに置く「野良アプリ」という話であれば、パッケージシステムの範囲外で行うことですから Windows Installer を使っていないものを使う、という話になるように思います。
一般ユーザで apt-get install lv とかやったら ~/bin に lv が入るって話だとしたら、OS のパッケージシステムを利用する場合ユーザ単位での限定インストールができるシステムの方が希少というか、存在しないように思いますがどうでしょうか。
Re:mshta.exe自体が危険、であるならば... (スコア:1, すばらしい洞察)
侵入された時点で、バイナリを後から送り込むことも出来るわけで、ローカルにコンパイルできることがリスクの面でそんな大きな差になるとは思えないのですが。
できないほうが良いのは分かりますが。
Re:mshta.exe自体が危険、であるならば... (スコア:1)
mshta.exe "res://%SystemRoot%\system32\nusrmgr.cpl /nusrmgr.hta"
で標準のユーザーアカウント設定画面出せますからな。
ドメイン環境でも使用可。
Re:mshta.exe自体が危険、であるならば... (スコア:1)
もっといえばただ単に知らないexeを実行してるのと同じ事。
IEでふつうにWeb閲覧してるときに、閲覧しているページからローカルでexeが動いたらもちろん脆弱性ですが、
exeをダウンロードしてダブルクリックで実行したらファイルが消された!っていうのは脆弱性ではないですよね。
まぁWSHがあるので現状あえてこれ経由でバッチ処理する必要はないと思いますが、GUI付きの簡易アプリの作成は楽にできます。
そもそもローカルのファイルを処理するためのホストなのでActiveXのセキュリティ云々も関係ありません。
まぁ外部ページ閲覧の時に一言くらいあってもいいような気もしますけど…